21 октября, воскресенье 09:42
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Аутсорсинг ИБ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Аутсорсинг ИБ

    Читаю сейчас отчет KPMG. Ужасные факты обнаружил.
    Оказываться за границей, крупные компании в 30% случаев готовы отдать ИБ на полный или частичный аутсорсинг.
    Как считаете это тенденция распространиться на нас?
    У нас в России, очень крупные компании отдают ИТ на частичный или полный аутсорсинг. И сотрудники говорят что это цветочки, что скоро все перейдут на аутсорсинг ИТ и ИБ.
    На конференции InfoSecurity Moscow, эта тема поднималась. Коллеги конечно хором сказали что никто никогда ИБ банка и финансовых организаций не передаст на аутсорс, но это были мнения больше коллег, чем руководителей.
    7
    Верю, но это будет не скоро
    42.86%
    3
    Верю, так и должно быть
    14.29%
    1
    Не верю, ИБ нормальные организации никогда не отдадут на аутсерсинг
    14.29%
    1
    Организации из финансовой сферы никогда не пойдут на аутсерсинг ИБ, все остальные возможно
    28.57%
    2

  • #2
    Вопрос об использовании полного или частичного аутсорса совсем не однозначный... Вариантов за и против много.
    Может быть дело и в психологии руководства, недооценивающего деятельность своих "очень затратных" специалистов по ИБ, т.к. те зачастую не предоставляют ожидаемых парадных отчетов (ну с чего же их взять, когда проблемы почти каждый день новые проявляются!), а со стороны все будет так наглядно: "У вас все нормально - падаете, но зато как мы все для Вас красиво оформили! И совсем недорого..." А ведь руководство обратит внимание только на самые первые и последние слова... и побежит к ним снова!
    Я не сильно сомневаюсь в хорошем уровне подготовки "фирменных" специалистов (доводилось сотрудничать), но кто сказал, что при частичном аутсорсе дядька со стороны лучше увидит имеющиеся проблемы. Скорее прогонит аудит по шаблону, может и зацепит что-то еще неизвестное... Хотя может и существенно помочь.
    Для крупных компаний возможен и такой вариант => полный аутсорс проводится их же дочерней компанией (формы заинтересованности могут различаться, но суть та же ).

    P.S. Аутсорсинг - передача части функций по обслуживанию деятельности фирмы другой организации-исполнителю.

    Маленькая провокация => если вдруг банк переходит на аутсорс , то наверняка производящая его фирма заинтересуется в переманивании ведущих специалистов банка по данному направлению. И что получится???
    Последний раз редактировалось Ichiro; 15.01.2008, 01:14.

    Комментарий


    • #3
      Проголосовал за вариант #4, как самый близкий моему видению проблемы, а именно:предполагаю, что несмотря на нежелание, эпидемия аутсорсинга ИБ кред.организаций начнётся с "мастодонтов" отрасли (Базель-то уже не за горами ), а там, глядишь, ГУБЗИки проснутся и "порекомендуют" остальным банкам внешнего аудитора(ов) в своей обычной манере Что же касается остальных сфер(продажи, производство) - тут уже процесс идёт вовсю, сам сейчас готовлюсь к общению с внешними аудиторами...
      Ichiro
      Маленькая провокация => если вдруг банк переходит на аутсорс , то наверняка производящая его фирма заинтересуется в переманивании ведущих специалистов банка по данному направлению. И что получится???
      Не факт...Всё зависит от того, насколько фирма-аутсорсер нуждается в кадрах, опять же - не будем забывать, что банковская ИБ - вещь узкоспециализированная, ну и финансовый аспект тоже не последнюю роль в этом деле сыграет
      Всё в наших руках...(с)

      Комментарий


      • #4
        Маленькая провокация => если вдруг банк переходит на аутсорс , то наверняка производящая его фирма заинтересуется в переманивании ведущих специалистов банка по данному направлению. И что получится??? - обычно этим специалистам предлогают переход в фирму аутсортера, т.к. родной компании они больше не нужны. Или с ними прощаются

        Комментарий


        • #5
          Мне так, идея аутсорта - нравится. Единственный большой минус - раз сев на эту "иглу", слезть с неё крайне трудно. В плюсы бы отнес прозрачность... когда компания платит конкретные деньги за конкретные услуги, а не финансирует подразделение в целом.

          Если процессы не основные, а их поддержка собственными силами требует больших затрат, то аутсорт есть хороший вариант "высокого качества за разумные деньги". Если что то смущает, то можно отпочковать свою аутсорт - компанию (пример ЛУКОЙЛ-ИНФОРМа).
          Почему бы со временем не появится компании специализирующейся на услугах банковской ИБ, получившей благословение на эту деятельность от ЦБ?

          Комментарий


          • #6
            box_roller
            С ЛУКОЙЛом ситуёвина вообще интересная:по непроверенным данным они вроде как даже сертифицировались по 27001, а областью сертификации был (ви таки будете долго смеяться, но это действительно так) хелпдеск...
            Всё в наших руках...(с)

            Комментарий


            • #7
              Сообщение от Пух575 Посмотреть сообщение
              box_roller
              С ЛУКОЙЛом ситуёвина вообще интересная:по непроверенным данным они вроде как даже сертифицировались по 27001, а областью сертификации был (ви таки будете долго смеяться, но это действительно так) хелпдеск...
              На Инфосеке их главный (Курбатов вроде) сказал, что область у них по 27001: управление персоналом. Цель: защита персональной информации. Плюс ещё несколько процессов на подходе к сертификации.

              Комментарий


              • #8
                box_roller
                область у них по 27001: управление персоналом. Цель: защита персональной информации
                IMHO, поторопились они, поторопились
                Всё в наших руках...(с)

                Комментарий


                • #9
                  Сообщение от Пух575 Посмотреть сообщение
                  box_roller
                  область у них по 27001: управление персоналом. Цель: защита персональной информации
                  IMHO, поторопились они, поторопились

                  Почему поторопились?

                  Комментарий


                  • #10
                    box_roller
                    Дык если у них действительно есть персональные данные, подпадающие под действие ФЗ, то им теперь на эту тему дополнительно заморачиваться треба...
                    Всё в наших руках...(с)

                    Комментарий


                    • #11
                      Сообщение от Пух575 Посмотреть сообщение
                      box_roller
                      Дык если у них действительно есть персональные данные, подпадающие под действие ФЗ, то им теперь на эту тему дополнительно заморачиваться треба...
                      Ну так когда они делали, ФЗ ещё не было.

                      Комментарий


                      • #12
                        box_roller
                        Ну так когда они делали, ФЗ ещё не было.
                        так вот я и говорю - поторопились...
                        Всё в наших руках...(с)

                        Комментарий


                        • #13
                          Аутсорсинг ИБ в России - это миф на ближайшие 3-4 года. В России нет компаний, способных реализовать полноценный аутсорсинг ИБ.

                          Комментарий


                          • #14
                            Алексей Лукацкий
                            Аутсорсинг ИБ в России - это миф на ближайшие 3-4 года
                            Если не секрет, почему Вы так думаете?
                            Всё в наших руках...(с)

                            Комментарий


                            • #15
                              Пух575 Потому что к данной услуге, как к рыночному инструменту, сейчас не готовы ни Заказчики, ни исполнители.
                              Да пребудет с Тобою Великая Сила! ©

                              Комментарий


                              • #16
                                К_Маркелов
                                Потому что к данной услуге, как к рыночному инструменту, сейчас не готовы ни Заказчики, ни исполнители.
                                Без обид, но это всего лишь общие слова, а меня(да пожалуй, и не меня одного) интересуют подробности.Ведь согласитесь, начинать когда-то всё равно придётся...
                                Всё в наших руках...(с)

                                Комментарий


                                • #17
                                  Пух575 Это зависит от Вашей точки зрения ои от Ваших бизнес-интересов.
                                  Если Вы - приближённая к конкретному Банку ИТ-Компания с соответствующим опытом, то Вам по некоторым соображениям удобства (замечу - на НЕрыночных условиях - т.к. другой приближёной компании у Банка нет) могут отдать ИБ на аутсорсинг. Для меня - это единственная ситуация, которая может стать реальной на ближайшие 3-4 года.

                                  В остальном - ЛЮБОЙ Банк хочет контролировать вопросы ИБ самостоятельно, т.к. ИБ для любого Банка очень близко к экономической безопасности.

                                  Аудит ИБ можно заказать внешней компании ,но отдать полностью на аутсорсинг - очень вряд ли!!!
                                  Да пребудет с Тобою Великая Сила! ©

                                  Комментарий


                                  • #18
                                    Если возможен аутсорсинг ИТ вообще, значит, возможен и аутсорсинг ИБ (вернее, безопасности ИТ) в частности.
                                    Другое дело, что при оформлении договорных отношений учитываются сценарии "если - то", которые в случае с ИБ просто не понятно как формулировать. В частности, неясно, в каком объёме аутсорсер будет компенсировать заказчику утечку данных. Вопросы эти стоят бок о бок с темой страхования информационных рисков. Как только научимся страховать, тут же и аутсорсинг попрёт.

                                    Комментарий


                                    • #19
                                      sunny Как только научимся страховать, тут же и аутсорсинг попрёт. Золотые слова!
                                      Да пребудет с Тобою Великая Сила! ©

                                      Комментарий


                                      • #20
                                        sunny Как только научимся страховать
                                        имхо, подобное регулируется соответсвующими пунктами договора с аудиторами. Все в правом поле.
                                        Дорогу осилит идущий!

                                        Комментарий


                                        • #21
                                          Оказываться за границей, крупные компании в 30% случаев готовы отдать ИБ на полный или частичный аутсорсинг.
                                          не будем забывать, что банковская ИБ - вещь узкоспециализированная и кардинально отличается от ИБ компании, так как банк выступает носителем "чужих" тайн и соответственно уровень рисков и ответственности за ее сохранность совершенно другой.

                                          Комментарий


                                          • #22
                                            Наверное, каждый считает, что его область деятельности очень специфичная, узкоспециализированная, особая и неповторимая.
                                            С другой стороны, цель любого бизнеса - приносить прибыль, и всё там меряется деньгами, в том числе и ответственность перед третьими лицами за сохранность их секретов.
                                            Проблема в том, что пока никто не знает, как померять эту ответственность.

                                            Комментарий


                                            • #23
                                              sunny
                                              +1

                                              Комментарий


                                              • #24
                                                Сообщение от Пух575 Посмотреть сообщение
                                                Если не секрет, почему Вы так думаете?
                                                Причин множество:
                                                1. Масштабность страны и концентрация всех аутсорсеров преимущественно в Москве. Как управлять средствами защиты во Владивостоке из Москвы?
                                                2. Слабые каналы связи по стране (опЯть же исключая Москву и крупные центры).
                                                3. Отсутствие у большинства компаний финансовых ресурсов на покрытие возможного ущерба в случае нарушения SLA. Хотя у нас 70% аутсорсеров несут такую ответственность. Но посмотрев на 4-ый пункт можно понять, что даже 100%-ный результат ничего не показывает, т.к. при отсутствии SLA ни о какой ответственности и покрытии речи и быть не может.
                                                4. Больше трети аутсорсеров не заключают SLA, что отталкивает от них серьезных заказчиков. Нет SLA, нет критериев оценки, нет гарантий (хотя 80% аутсорсеров ее дают), нет ответственности.

                                                Еще к слову сказать, недавно журнал "Информационная безопасность" проводил опрос российских "аутсорсеров" по ИБ. Я комментировал результаты этого опроса и они неутешительны. Если вкратце, то:
                                                - только 20% имеют больше 10 клиентов, что говорит о слабой распространенности этого рынка
                                                - большинство оказывает услуги аутсорсинга для ВНУТРЕННЕЙ сети, а не периметра!!! кто их туда пускает?

                                                Сам журнал - http://www.itsec.ru/newstext.php?news_id=36640

                                                Резюме: если аутсорсинг ИБ и возможен, но только в пределах Москвы и еще парочки региональных центров.

                                                Комментарий


                                                • #25
                                                  Сообщение от Пух575 Посмотреть сообщение
                                                  не будем забывать, что банковская ИБ - вещь узкоспециализированная
                                                  Почти в любой области действует правило Парето (или 80/20) и разные направления безопасности - не исключения. Про свою узкую специализацию могут сказать нефтяники, транспортники, операторы связи и другие. Базовая безопасность (особенно сетевая) - у всех практически одинаковая. А вот прикладная часть может отличаться, но и то не так уж значительно.

                                                  Комментарий

                                                  Пользователи, просматривающие эту тему

                                                  Свернуть

                                                  Присутствует 1. Участников: 0, гостей: 1.

                                                  Обработка...
                                                  X